- Tribunale di Torino - sentenza 1460/2015
- Corte d'Appello di Torino - sentenza 138/2017
- Cass. Civ. Sez. Lav. - sentenza 33809/2021
1. Con cinque sentenze emesse all’esito della stessa udienza pubblica, tenutasi il 17.6.2021, la Corte di cassazione ha affrontato varie questioni, tutte relative al vecchio e al nuovo testo dell’art. 4 L n. 300/70, sui controlli a distanza dei lavoratori e dell’attività lavorativa. Vari sono stati i profili considerati, ciò che però interessa questo commento è solo il profilo della definizione del cd. controllo difensivo con riferimento a una specifica vicenda di uso personale di programmi o applicativi installati sul computer aziendale dato in dotazione, portata all’esame del giudice di legittimità.
Nelle sentenze nn. 25732 e 34092/2021 viene affermato che i controlli difensivi, per tali intendendosi quelli diretti alla tutela dell’immagine o del patrimonio aziendale, erano «sottratti all'area di operatività dell'originaria versione dell'art. 4, comma 2, St. lav.», non essendo richiesta per gli stessi la preventiva informazione dei lavoratori e i dati ricavati erano utilizzabili a condizione che: 1) «l'iniziativa datoriale avesse la finalità specifica di accertare determinati comportamenti illeciti del lavoratore»; 2) «gli illeciti da accertare fossero lesivi del patrimonio o dell'immagine aziendale»; 3) «fossero stati disposti ex post, ossia dopo l'attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull'esecuzione della prestazione lavorativa»; 4) fosse assicurato con «l'impiego di determinati accorgimenti e cautele, un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni (in senso lato) aziendali».
Una parzialmente diversa affermazione si trova nella sentenza n. 32760/2021, nella quale si legge: «Nel precedente quadro normativo l'orientamento di questa Corte (Cass. n.16622/2012, Cass. n.19922/2016), da cui non si ha motivo di discostarsi, evidenziava l'effettività del divieto di controllo a distanza dell'attività dei lavoratori, richiedente, anche per i cd. controlli difensivi, l'applicazione delle garanzie dell'originario art. 4, secondo comma, legge 20 maggio 1970 n. 300; con la conseguenza che se per l'esigenza di evitare attività illecite o per motivi organizzativi o produttivi, il datore di lavoro può installare impianti ed apparecchi di controllo che rilevino anche dati relativi alla attività lavorativa dei dipendenti, tali dati non possono essere utilizzati per provare l'inadempimento contrattuale dei lavoratori medesimi».
In relazione alla disciplina attuale, a seguito della riforma introdotta con l’art. 23 d.lgs. n. 151/2015 e con l'art. 5 d.lgs. n. 185/2016, viene poi affermato che, benché i controlli a distanza per la tutela del patrimonio aziendale siano espressamente contemplati dal primo comma del nuovo testo dell’art. 4, le procedure e l’informativa richieste quali presupposti di legittimità dal comma medesimo e dall’ultimo comma della disposizione, non possono essere pretesi per i "controlli difensivi" in senso stretto, «diretti ad accertare specificamente condotte illecite ascrivibili - in base a concreti indizi - a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro». Per questi controlli, a differenza di quelli previsti dal primo comma che riguardano l’attività della generalità dei lavoratori, «si può ritenere che…, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situino, anche oggi, all'esterno del perimetro applicativo dell'art. 4». Viene però precisato che il controllo non può avere per oggetto informazioni acquisite in violazione dell'art. 4 dello Statuto, perché ciò comporterebbe la completa elusione della disciplina, in quanto il datore di lavoro potrebbe semplicemente acquisire e conservare ininterrottamente dati di qualsiasi natura da analizzare nell’eventualità di un futuro illecito, ma deve avere per oggetto solo l’acquisizione di dati, in difetto di autorizzazione e/o di adeguata informazione, effettuata ex post, ossia dopo che l’illecito è stato commesso.
Si tratta di un passaggio cruciale, poiché una volta ammesso il controllo cd. difensivo (la cui legittimità nel regime previgente quale controllo a distanza era in verità tutt’altro che pacifica) diviene assai arduo accertare, in fatto, che il controllo sia stato disposto quando effettivamente vi erano altri elementi indicativi della commissione di un illecito, perché l’uso dei dati raccolti avverrà sempre e solo nei casi in cui il sospetto ha avuto successiva conferma e non in tutti gli altri casi in cui il controllo illecito e lesivo della dignità del lavoratore vi sia stato senza che sia emerso alcun pregiudizio per il patrimonio aziendale. E che cosa si debba intendere per “fondato sospetto” viene rimesso alla definizione del giudice di merito, con un espresso richiamo alla necessità di valutare il caso concreto: non vi è alcuna indicazione in queste sentenze ed è evidente che si gioca su un crinale di difficile governo, perché da un lato se la prova, anche solo indiziaria, dell’illecito è già acquisita il controllo è inutile (e comunque dovrebbe essere circoscritto solo al dato specifico di immediato riscontro, senza essere esteso ad altri dati), mentre dall’altro lato è un po’ difficile dire che non vi era il fondato sospetto se attraverso i dati viene acquisita la prova dell’illecito e l’imputabilità a un determinato autore. Non solo, ma è di lampante evidenza che la possibilità di attuare controlli occulti, fuori dalle condizioni imposte dall’art. 4 dello Statuto vecchio e nuovo testo, apre la strada a raccolte di dati di cui viene celata l’acquisizione se non rivelano l’esistenza di illeciti (o fino a che non la rivelino) con palese violazione della riservatezza e della dignità del lavoratore.
Senza da ultimo trascurare, guardando l’altra faccia della medaglia, il problema sul piano penale (art. 23, comma 1, d.lgs. n. 151/2015, art. 38 l n. 300/1970 e artt. 114 e 171 del d.lgs. 30 giugno 2003, n. 196) perché gli elementi costitutivi del reato dovrebbero essere conoscibili prima della condotta e non dopo la condotta in quanto risultata non giustificata (a meno di non individuare una esimente nel “sospetto” di illecito con buona pace della certezza del diritto o del disposto dell’art. 25 della costituzione).
Ciò che non va perso di vista, e che dovrebbe orientare il momento interpretativo e applicativo, è che la finalità della disciplina restrittiva non è quella di mettere limiti al datore di lavoro, limiti che quindi vanno interpretati in senso restrittivo, quanto alle contestazioni disciplinari, ma quella di evitare lesioni di quell’ambito di autonomia della persona e delle sue modalità di vivere sul luogo di lavoro, che devono essere preservate in una sfera di riservatezza, che viene violata ogni qual volta siano possibili intrusioni, attraverso controlli al di fuori dei presupposti di legittimità, indipendentemente dal fatto che poi questi controlli esitino in contestazioni di negligenza o altro.
Indicazione significativa e importante (art. 4 nuovo testo) è dunque quella della necessità che il controllo sia effettuato ex post ossia dopo che siano stati individuati e siano dimostrabili (occorre sottolinearlo) elementi di fatto indicativi dell’esistenza di un illecito in pregiudizio del patrimonio aziendale: «Il che è sostanzialmente in linea con gli ultimi approdi della giurisprudenza di questa Corte, più sopra richiamati, in materia di controlli difensivi nella vigenza della superata disciplina». Diversamente, «il controllo non sembra potersi ritenere effettuato ex post, poiché esso ha inizio con la raccolta delle informazioni; quella che viene effettuata ex post è solo una attività successiva di lettura ed analisi che non ha, a tal fine, una sua autonoma rilevanza. Può, quindi, in buona sostanza, parlarsi di controllo ex post solo ove, a seguito del fondato sospetto del datore circa la commissione di illeciti ad opera del lavoratore, il datore stesso provveda, da quel momento, alla raccolta delle informazioni. Facendo il classico esempio dei dati di traffico contenuti nel browser del pc in uso al dipendente, potrà parlarsi di controllo ex post solo in relazione a quelli raccolti dopo l'insorgenza del sospetto di avvenuta commissione di illeciti ad opera del dipendente, non in relazione a quelli già registrati».
Significativa sul piano concettuale ancorché meno pregnante quale criterio applicativo, in quanto a contorni non definiti, è l’altra indicazione della necessità che natura e modalità del controllo attuino un «corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore».
A conforto della coerenza di questa interpretazione con la giurisprudenza della Corte Edu sull’art. 8 della Convenzione vengono richiamate le sentenze di Grande Camera del 17 ottobre 2019, nel caso Lòpez Ribalda e altri c. Spagna e del 5 settembre 2017 nel caso Barbulescu c. Romania.
Il quadro viene poi completato dalla sentenza n. 25731/2021, che condivide l’interpretazione del nuovo art. 4 dello Statuto fatta propria dalla Corte d’appello di Milano e afferma il principio della inutilizzabilità dei dati/informazioni acquisite attraverso i sistemi e dispositivi indicati dal primo comma e dal secondo comma, «a tutti i fini connessi al rapporto di lavoro» (e quindi anche ai fini disciplinari) in assenza della previa informazione dei dipendenti circa le modalità di registrazione dei dati.
Non prende posizione la sentenza, ritenendo il motivo assorbito, sulla questione dell’estensione della copertura data dall’art. 15 della Costituzione alla tutela della riservatezza della corrispondenza dei dipendenti in relazione all’uso di strumenti aziendali per comunicazioni private.
2. In questo panorama si inserisce in modo che pare alquanto dissonante, sotto più profili, la sentenza n. 33809/2021 per apprezzare la quale è necessario prendere le mosse dalle due sentenze di merito, la n. 1460/2015 del Tribunale di Torino e la n. 138/2017 della Corte d’appello di Torino che l’ha riformata.
La vicenda portata all’esame dei giudici è in fatto la seguente.
Un dirigente d’azienda, con mansioni di responsabile commerciale, dà le dimissioni. L’ex datrice di lavoro, che rifiuta il preavviso lavorato, avendo avuto la riconsegna del computer e di altri vari altri strumenti che aveva dato in dotazione (telefono cellulare, IPad e simili) formattati, ossia nei quali erano stati cancellate tutte le registrazioni dei dati relativi all’uso che era stato fatto degli applicativi, affida il computer a un tecnico che forza l’account personale dell’ex dipendente ed estrae testi di conversazioni private di quest’ultimo, avute con terzi, e fra questi anche con clienti fornitori e collaboratori, attraverso il sistema di messaggistica annesso a Skype, accessibile solo dall’account personale non essendo mai stato fornito un account aziendale, e le produce, per gli estratti ritenuti significativi, in giudizio, al fine di dimostrare la violazione da parte del dirigente dell’obbligo di fedeltà e una attività di concorrenza sleale.
Il Tribunale di Torino ritiene queste informazioni utilizzabili in quanto «il PC aziendale utilizzato dal ricorrente per ragioni di lavoro è bene aziendale e, pertanto, non può e non deve essere utilizzato né a fini privati né per scopi contrari agli obblighi di legge e contrattuali inerenti al rapporto di lavoro» e in quanto «non sussiste alcun diritto del convenuto sui file presenti sull’hard disk del PC e men che meno quello alla privacy»; ritiene quindi provata l’attività illecita e condanna il dirigente al risarcimento del danno.
La Corte d’appello di Torino riforma integralmente la sentenza.
Innanzitutto, statuisce la non utilizzabilità dei messaggi estratti dal tecnico incaricato dall’hard disk del PC portatile restituito, forzando l’account personale del dipendente per accedere a dati rimasti memorizzati; ciò in applicazione degli artt. 15 cost., 616 cod. pen. e 4 Statuto dei Lavoratori nel testo originario. Con ampi riferimenti e citazioni dei provvedimenti del Garante della privacy e del codice in materia di protezione dei dati personali (d.lgs n. 196/03), l’utilizzabilità viene negata in quanto: 1) il datore di lavoro non aveva preventivamente adottato una policy aziendale di esclusione dell’uso personale o sulle modalità di uso personale degli strumenti in dotazione e del PC; 2) non era stata fornita alcuna informazione sulla possibilità e sulle modalità degli eventuali controlli sull’uso degli stessi (e viene tra l’altro sottolineato che, come allegato dalla stessa, la datrice di lavoro era a conoscenza che l’applicativo Skype era utilizzato quale ordinario strumento di lavoro aziendale e che le conversazioni Skype avvenivano, per il tramite del PC aziendale in uso, con utilizzo della rete internet della società, senza che fosse mai stato messo a disposizione un account aziendale).
La Corte d’appello entra poi nel merito e, con un esame analitico degli elementi di prova (anche in questo caso, esclude che vi sia stata attività in concorrenza o comunque scorretta da parte del dipendente.
La ratio decidendi esposta nella sentenza della Corte sull’utilizzabilità dei dati raccolti dal datore di lavoro appartiene all’elaborazione che sottostà alle numerose e univoche pronunce del Garante della privacy, richiamate nel provvedimento, e che è quella condivisa dalla migliore dottrina e giurisprudenza: l’uso personale del PC portatile è consentito se non espressamente vietato e vi è obbligo da parte del datore di lavoro di informare preventivamente se e quali controlli, attraverso cui si può avere accesso a dati personali, possano essere fatti.
A questo va aggiunto che vanno tenuti distinti lo strumento aziendale, l’applicativo che consente l’uso di determinati programmi o piattaforme e i dati ricavabili dall’uso.
L’hardware e il software dati in uso sono strumenti di lavoro che per le condizioni spazio-tempo che realizzano, e che contemplano anche la comunicazione e l'interazione in un ambiente online in tempo reale (nonché la condivisione degli stessi applicativi sui vari dispositivi PC, smartphone, IPad), vanno a costituire rispetto alla prestazione di lavoro, un luogo di lavoro; non sono dei meri attrezzi o utensili. E come per qualsiasi luogo di lavoro che accoglie la persona del lavoratore, anche in questo deve esserne tutelata la dignità e la riservatezza.
Come nessun dubbio potrebbe sussistere sulla natura privata di una lettera in busta chiusa con la dicitura “personale” recapitata al dipendente nella sede aziendale (a prescindere dall’esistenza o inesistenza di una autorizzazione a riceverla), così non dovrebbe esservi dubbio sulla natura privata di messaggi inviati in caselle accessibili da un account personale, non condiviso in ambito aziendale, protetto da una password. Con conseguente applicabilità dell’art. 616 cod. pen. e della copertura data dall’art. 15 della Costituzione.
In merito alla posta elettronica la Cassazione penale ha avuto modo di chiarire che qualora «siano attivate caselle di posta elettronica – protette da password personalizzate – a nome di uno specifico dipendente, quelle “caselle” rappresentano il domicilio informatico proprio del dipendente […]. La casella rappresenta uno “spazio” a disposizione – in via esclusiva – della persona, sicché la sua invasione costituisce, al contempo, lesione della riservatezza» (Cass. pen. n. 13057/2016).
L’uso di un accesso privato ad applicativi messi a disposizione per la prestazione di lavoro non determina il mutamento della natura delle comunicazioni che attraverso quegli applicativi passano, che possono essere private o aziendali.
È la politica di uso degli applicativi da parte del datore che è dirimente: autorizzato l’uso privato diviene “aziendale” la comunicazione riversata nell’attività aziendale, in appositi “archivi” o cartelle, o registrata in contabilità o in amministrazione o diretta a superiori o colleghi per condividerne la conoscenza e così via. Nessun dubbio che attraverso una corrispondenza privata (ovviamente anche cartacea) si possano commettere illeciti, ma questo è un problema che si pone su un altro piano, non quello della natura del messaggio o del file, bensì quello dell’accesso che può essere effettuato legittimamente dal datore di lavoro e che rimanda quindi all’ultimo comma del novellato art. 4 dello Statuto o alla questione dei limiti di legittimità dei controlli difensivi (art. 4 vecchio e nuovo testo).
La sentenza n. 33809/2021, dopo avere descritto nella narrativa in fatto la duplice ragione di rigetto della domanda del datore di lavoro, osservando quanto alla seconda che era fondata sulla «inidoneità delle risultanze istruttorie, in esito a loro critico ed argomentato scrutinio», afferma in esordio che la Corte d’appello ha omesso l'esame di un fatto storico di carattere decisivo, idoneo a determinare un esito diverso della controversia e che questo fatto storico consisterebbe nella «riconsegna dal dirigente dei dispositivi aziendali svuotati di tutti i dati», circostanza della quale peraltro la Corte stessa aveva «dato atto quale elemento, acquisito dalle risultanze istruttorie, valorizzato dal Tribunale ("la cancellazione totale ... di dati e file presenti sull'hard disk del computer aziendale")».
L’affermazione è già di per se stessa sorprendente perché il fatto menzionato è il fatto da cui ha avuto origine e su cui si impernia tutta la controversia e non si vede come possa essere stato omesso. L’omissione a cui fa riferimento la sentenza in questione in realtà non riguarda il fatto storico ma la sua valutazione, come è esplicitato immediatamente dopo, in consequenzialità logica: la condotta in sé doveva essere diversamente valutata perché va ritenuto che «anche la cancellazione, che non escluda la possibilità di recupero se non con l'uso anche dispendioso di particolari procedure, integri gli estremi oggettivi della fattispecie delittuosa dell'art. 635bis c.p., per conformità alla sua ratio (Cass. pen. 5 marzo 2012, n. 8555). Ed è ciò che è avvenuto nel caso di specie…».
Ora, l’art. 635 bis cod. pen. dispone: «chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni». È quindi elemento imprescindibile l’“altruità” dei dati, programmi ecc. oggetto della condotta. E l’altruità può essere affermata solo dopo aver definito la natura di dati, programmi ecc., questione di fatto e non di diritto, perché il diritto di proprietà per essere affermato necessita che a monte si stabilisca quale sia l’oggetto di cui si tratta.
Ebbene, leggendo la sentenza di primo grado, la sentenza di secondo grado e i motivi di ricorso riportati nella motivazione della sentenza n. 33809/2021 si può constatare che la questione della applicabilità dell’art. 635 bis cod. pen. non era mai stata sollevata dalle parti e che quella dell’altruità è stata affrontata nei termini seguenti.
Vi è nella sentenza di primo grado un passaggio, immotivato, nel quale viene affermato, del tutto erroneamente, che la proprietà aziendale del PC determina la proprietà di tutti i dati accessibili perché registrati in applicativi installati sul PC (compresi evidentemente anche i messaggi alla famiglia, all’amante, al medico, al meccanico). Mentre nella sentenza di secondo grado viene, correttamente, presupposto esattamente il contrario in presenza di un uso privato di PC e altri dispositivi, lecito e consentito, da parte del dirigente e in assenza di una politica aziendale sull’uso degli stessi.
Il primo motivo di ricorso in cassazione, così come riportato in sentenza, pone la questione, ma la pone come questione di principio (tutto ciò che è accessibile dal PC è aziendale) non come questione in fatto di definizione dell’oggetto, ossia dei dati in discussione, della loro natura per contenuto e strumentalità rispetto alla prestazione lavorativa, e della politica aziendale rispetto agli stessi. La tesi sostenuta è che sono dati «afferenti l'attività lavorativa» quelli scambiati «con altri referenti della rete commerciale, attraverso l'applicativo Skype ordinariamente utilizzato dai dipendenti attraverso la rete Internet aziendale» dovendosi «ritenere la neutralità della password di accesso a Skype, siccome non finalizzata alla protezione di dati personali ma relativa a comunicazioni aziendali, al pari di quella di utilizzazione della casella di posta elettronica in dotazione».
Il tema da affrontare era quindi chiaro e circoscritto: esclusa dalla Corte d’appello la proprietà aziendale di files e messaggi protetti da un account personale si trattava di stabilire se può essere affermata questa proprietà solo per il fatto che questi documenti sono stati registrati attraverso applicativi aziendali o impiegati in ambito aziendale, all’uso privato dei quali il dipendente era autorizzato.
La questione, cruciale proprio per la definizione dell’ambito di applicazione dell’art. 4 dello Statuto (sia vecchio che nuovo testo), non viene affrontata, ma viene data per risolta in senso affermativo come si evince dal richiamo alla fattispecie penale e dal passaggio successivo relativo al diritto di utilizzare dati personali in giudizio per l’esercizio del diritto di difesa ex art. 24, lett. f) d.lgs n.196/2003, in cui si legge «l'attività di recupero dei dati, cancellati dal dirigente prima della riconsegna del computer avuto in dotazione e integranti patrimonio aziendale, dopo la cessazione del rapporto di lavoro è stata compiuta da…in funzione dell'odierno giudizio risarcitorio, sul presupposto della distruzione da parte del dipendente di beni aziendali, quali appunto quelli memorizzati nel personal computer: condotta integrante violazione dei doveri di fedeltà e di diligenza, tale da costituire giusta causa di licenziamento».
La questione viene quindi traslata nel contesto di una interpretazione dell’art. 24, lett. f) d.lgs n.196/2003 non condivisibile.
Premesso che non si riesce ad apprezzare il riferimento alla circostanza che l’acquisizione dei dati sia stata fatta dopo la cessazione del rapporto di lavoro, atteso che diritti e obblighi relativi, compresi quelli eventualmente risarcitori, hanno titolo nel rapporto di lavoro e attengono allo svolgimento dell’attività lavorativa pregressa e premesso che la formattazione avrebbe potuto essere fatta periodicamente dal dirigente durante il rapporto mantenendo solo gli applicativi e i programmi, se l’affermazione che «la produzione in giudizio di documenti contenenti dati personali è sempre consentita ove sia necessaria per esercitare il proprio diritto di difesa, anche in assenza del consenso del titolare» è condivisibile e conforme al dettato normativo, non è condivisibile invece l’affermazione ulteriore di precisazione «quali che siano le modalità con cui è stata acquisita la loro conoscenza».
L’art. 24 lett. f) d.lgs n. 196/03 consente l’uso di dati personali senza il consenso quando «è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale». Ciò che viene autorizzato è quindi l’uso senza il consenso dell’interessato, ma solo di dati legittimamente acquisiti. Una diversa interpretazione renderebbe del tutto inutile la normativa di cui all’art. 4 dello Statuto, vecchia e nuova versione, atteso che i dati acquisiti fuori dai limiti consentiti o sono inutili perché insignificanti o sono sempre destinati all’esercizio del “diritto di difesa”, inteso oltretutto nel senso più ampio esplicitato nella sentenza in commento come diritto non «limitato alla pura e semplice sede processuale» ma esteso «a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata mediante citazione o ricorso».
La questione della acquisizione per la produzione in giudizio rimanda quindi alla questione della legittimità dell’acquisizione e dunque ai presupposti di legittimità dei cd. controlli difensivi, richiamati, attraverso la citazione di un precedente giurisprudenziale, solo con la frase «non richiedendo l'osservanza delle garanzie ivi previste, se diretti ad accertare comportamenti illeciti e lesivi del patrimonio e dell'immagine aziendale, tanto più se disposti ex post, dopo l'attuazione del comportamento in addebito».
Non vi è traccia della parte ricognitiva dell’art. 4 Statuto testo originario di cui alle sentenze n. 25732/2021 e n. 34092/2021, che pure richiamano l’ordinanza n. 13266/2018, né e tanto meno di cui alla sentenza n. 32760/2021 che afferma l’illegittimità nel regime precedente dei controlli difensivi. Non si menzionano affatto i quattro punti sopra riportati che costituivano il limite dei controlli difensivi nel vigore dell’originario art. 4 dello Statuto e in forza dei quali era necessario che: 1) «l'iniziativa datoriale avesse la finalità specifica di accertare determinati comportamenti illeciti del lavoratore»; 2) «che gli illeciti da accertare fossero lesivi del patrimonio o dell'immagine aziendale»; 3) che «fossero stati disposti ex post, ossia dopo l'attuazione del comportamento in addebito, così da prescindere dalla mera sorveglianza sull'esecuzione della prestazione lavorativa»; 4) che fosse assicurato con «l'impiego di determinati accorgimenti e cautele, un adeguato bilanciamento tra le esigenze di salvaguardia della dignità e riservatezza del dipendente e quelle di protezione, da parte del datore di lavoro, dei beni (in senso lato) aziendali».
Omettendo la verifica della legittimità, in base a questi criteri, del controllo difensivo che sarebbe stato attuato, si sorvola completamente sulla questione principale e dirimente posta dalle parti e decisa in senso opposto dai giudici di merito.
Sia la sentenza n. 25732/2021, che la sentenza n. 34092/2021 affermano, ed anzi ribadiscono, la natura privata delle conversazioni con messaggistica attraverso internet, protette da account personale e password, e dei dati ricavabili dalle stesse. È ben chiaro ed ampiamente illustrato nelle due decisioni il problema della intersezione tra tutela della riservatezza e accessibilità a questi dati per attuare controlli difensivi, per i quali vengono stabiliti limiti al fine di realizzare una riconciliazione tra le diverse esigenze sottostanti. Le argomentazioni palesano la problematicità di questo percorso, dovendo essere preservato il fine della disciplina di cui all’art. 4 e del codice della privacy, che sottraggono, prima ancora che alla disponibilità, alla conoscenza del datore di lavoro la corrispondenza privata del dipendente (e l’attenzione dovrebbe essere massima nella verifica del rispetto dei limiti all’accesso rispetto a operazioni di estrapolazione da uno strumento di cui il lavoratore non ha nemmeno più la disponibilità, come nel caso in esame).
Rispetto a questa impostazione la sentenza n. 33809/2021 risulta in aperto contrasto, perché disconosce la natura privata e la relativa tutela ai dati protetti con account personale, nonché la rilevanza dell’assenza di una policy aziendale con informativa sui possibili controlli e in definitiva ignora completamente il problema.
Si osserva che la menzione dei controlli difensivi è realizzata invece attraverso il richiamo ad un precedente giurisprudenziale, ovvero l’Ordinanza 28 maggio 2018, n. 13266 (peraltro citata anche nelle altre sentenze sopra indicate), nel quale si ritrovano affermazioni che paiono contrarie ai principi appena richiamati, risultando anche intrinsecamente contraddittorie perché da un lato si afferma che il rispetto delle garanzie procedimentali era necessario anche per l’uso di dati raccolti attraverso l’uso di strumenti informatici quanto a comportamenti del lavoratore relativi all’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, essendo escluse solo condotte costituenti illecito, lesive di beni estranei al rapporto o del patrimonio aziendale; dall’altro si fa rientrare in quest’ultima categoria l’aver giocato a carte in internet durante l’orario di lavoro, con una accezione evidentemente amplissima di «lesione del patrimonio aziendale», che alla fine va a comprendere qualsiasi inadempimento o negligenza nella esecuzione della prestazione (e vanifica la tutela di cui si discute, come ben espresso nella sentenza n. 19922/2016 richiamata in tutte le varie sentenze qui citate: «Diversamente opinando si finirebbe per estendere senza ogni ragionevole limite il concetto di controlli "difensivi" perché quasi sempre la violazione degli obblighi contrattuali dei dipendenti può generare danni alla società (ed alla sua reputazione) che però costituiscono il "rischio naturale" correlato all'attività imprenditoriale che la legge non consente di limitare attraverso sistemi invasivi della dignità dei lavoratori e comunque senza autorizzazione sindacale»).
Ricapitolando. Con una sorta di inversione logica rispetto alle questioni che hanno formato oggetto di esame e decisione nei giudizi di merito e degli argomenti svolti con il ricorso - che hanno avuto per oggetto la disponibilità senza limiti dei dati ricavabili dagli strumenti informatici in uso al dipendente, anche se relativi ad attività protetta da account personale e non incanalata nell’attività aziendale - la sentenza n. 33809/2021 prende posizione sia indirettamente affermando che l’esercizio del diritto di difesa ex art. 24 lett. F) d.lgs n. 196/03 autorizza l’acquisizione e l’uso di qualsiasi dato indipendentemente da presupposti di legittimità, sia affermando in modo espresso, senza ulteriori argomentazioni, che tali dati sono dati «integranti patrimonio aziendale».
Quest’ultima affermazione viene avvalorata attraverso la citazione di un precedente giurisprudenziale in questi termini: «distruzione da parte del dipendente di beni aziendali, quali appunto quelli memorizzati nel personal computer: condotta integrante violazione dei doveri di fedeltà e di diligenza, tale da costituire giusta causa di licenziamento (Cass. 14 maggio 2015, n. 9900)». Senonché il precedente richiamato aveva per oggetto la distruzione di files di lavoro, come si legge nei motivi di ricorso e nella motivazione della sentenza. La pronuncia in commento individua invece, erroneamente, un illecito nel fatto in sé della formattazione (punto 4 pag. 3), che, come si legge anche nei motivi di ricorso della sentenza citata a conforto, è un fatto del tutto ordinario alla riconsegna di un PC con autorizzazione all’uso personale, dal quale viene ovviamente cancellata tutta l’attività privata, ivi comprese conversazioni con i sistemi di messaggistica annessi ai vari applicativi, che non è destinata a confluire in attività aziendale.
Procedendo in questo modo, ed avendo individuato nella formattazione il fatto decisivo non valutato dalla Corte d’appello, viene completamente trascurata la motivazione di merito, sulla «inidoneità delle risultanze istruttorie, in esito a loro critico ed argomentato scrutinio» a fondare comunque la prova di una condotta infedele del dirigente: eppure il danno chiesto e già liquidato dal Tribunale attiene a tutt’altro, e non alla formattazione della memoria dei dispositivi informatici. Motivando nel merito, la Corte d’appello aveva escluso la responsabilità in ordine alle condotte denunciate sulla base delle fonti di prova offerte dalle parti, affermando che la situazione aziendale lamentata dalla datrice di lavoro era a quest’ultima nota da tempo e ascrivibile a fatti estranei al dirigente, del tutto anteriori alle sue dimissioni.
Un’ultima notazione.
Si legge nella sentenza n. 33809/2021 «che le prove precostituite, quali i documenti, entrano nel giudizio attraverso la produzione e nella decisione in virtù di un'operazione di semplice logica giuridica, essendo tali attività contestabili solo se svolte in contrasto con le regole rispettivamente processuali o di giudizio, che vi presiedono, senza che abbia rilievo una valutazione in termini di utilizzabilità, categoria propria del rito penale ed ignota al processo civile (Cass. 25 marzo 2013, n. 7466)».
Pare però potersi dire che la nozione di “utilizzabilità”, sottesa al vecchio dell’art. 4 dello Statuto ed espressamente menzionata nel nuovo testo quale volontà legislativa risolutiva dell’ampio dibattito che si era sviluppato sul tema, e nozione a cui fanno riferimento le altre sentenze emesse alla medesima udienza, ha innanzi tutto natura sostanziale: essa attiene piuttosto all’impossibilità radicale che dati illegittimamente acquisiti possano essere, appunto, utilizzati ai fini della gestione e dell’esecuzione del rapporto di lavoro e dunque non ha natura processuale, sicché l’inutilizzabilità in sede processuale ne è un mero riflesso. Si auspica che la Corte, al più presto, possa tornare ad occuparsi di questi argomenti, per fornire indicazioni di definitiva chiarezza.